运用LINQ轻松清除SQL注入式攻击

核心提示：微软的LINQ to SQL技术为.net开发人员提供了一种机会，使其可以清除所开发的Web应用程序中SQL注入式安全漏洞的可能性，运用LINQ轻松清除SQL注入式攻击， 随着对Web安全破坏的与日俱增，开发人员越来越深刻地认识到需要为其开发的应用程序的安全性承担更大的责任，攻击者不但能够自由地控制用户的数据，还可以删

微软的LINQ to SQL技术为.net开发人员提供了一种机会，使其可以清除所开发的Web应用程序中SQL注入式安全漏洞的可能性。

随着对Web安全破坏的与日俱增，开发人员越来越深刻地认识到需要为其开发的应用程序的安全性承担更大的责任，而且应用程序框架的厂商们也将更坚实的安全特性构建到其应用软件中去。许多开发人员已经认识到构建安全应用程序和防止破坏性攻击的最有效的方法就是从一开始就要安全地设计和实施应用程序。不幸的是，开发团队往往缺乏训练和资源来做出关于应用程序安全的科学设计决策。

在开发人员承受越来越多的安全责任之时，许多开发人员了解到的第一个Web应用安全漏洞，是一个被称为“SQL注入”的极危险的命令注入形式。命令注入的原始的形式本是指这样一种漏洞：攻击者通过提供一个正常使用者意料之外的输入，改变你的Web应用程序的运行方式，从而允许攻击者运行服务器上的非授权的命令。无疑，SQL注入式攻击是很常见的、被广泛使用的攻击形式。幸运的是，一旦我们理解了这个问题，就可以很容易地防止SQL注入式攻击。更妙的是，现在微软的数据访问技术向.net开发人员提供了彻底地清除SQL注入漏洞的机会，当然前提是能够正确使用。这种技术称为“语言级集成查询”（Language Integrated Query (LINQ)），并随Visual Studio "Orcas" 和 .NET Framework 3.5一起发布。本文将讨论如何通过LINQ强化Web应用程序的数据访问代码，从而解决通过SQL注入进行攻击的问题。

概述

SQL注入是一种Web应用程序的安全漏洞，通过它攻击者可以将恶意数据提交给应用程序，欺骗应用程序在服务器上执行恶意的SQL命令。理论上讲，这种攻击是容易预防的，不过由于其允许攻击者直接运行针对用户关键数据的数据库命令，从而成为一种常见的、危害性大的攻击形式。在非常极端的情况下，攻击者不但能够自由地控制用户的数据，还可以删除数据表和数据库，甚至控制整个数据库服务器。